什麼是基於行爲分析的DDoS緩解技術

　　無論我們選擇香港服務器還是雲服務器還承載業務，都必然繞不開DDoS的威脅。我們知道，典型的互聯網安全設備預先包裝了簽名和規則，可以幫助識別簡單的攻擊。這在許多情況下是有效的，但是沒有區分攻擊流量和正在瀏覽網站的合法用戶。基於簽名的方法往往不能滿足防禦DDoS攻擊的威脅。

　　關於DDoS防禦，首先在於攻擊檢測和識別。例如數分科技香港高防服務器，已集成完善的攻擊自動化檢測與處理系統，支持DDoS/SYN/UDP/ACK/ICMP/DNS/NTP/CC等各類攻擊的精準檢測，並自動切換高防線路實現保護。近日，美國FortiDDoS公司使用100%基於啓發式/行爲的檢測方法可能爲我們帶來不同的思路。儘管基於行爲的緩解措施具有某些無法避免的缺陷，但值得仔細研究。讓我們仔細看看基於行爲的DDoS緩解是什麼。

　　一、意圖與內容

　　基於行爲分析的DDoS檢測需要區分：攻擊者想要通過攻擊實現什麼目的。爲保持一定的偵測水平，攻擊者往往試圖將自己隱藏在已知的基於簽名的檢測方法中。基於行爲的方法不容易被攻擊者防範。

　　例如，大量的/index.html請求到您的網站對一組預定義的規則可能並不奇怪，但是如果這些請求有一個服務器從未見過的卷，那麼行爲方法就可以認爲這是一個潛在的攻擊。

　　以類似的方式，使用數分Slowloris之類的攻擊建立TCP連接在內容上是合法的，但是隻能使用行爲技術來識別。

　　二、硬編碼與自定義

　　值得一提的另一個區別是自定義和硬編碼規則集之間。您可以告訴您的DDoS設備停止包含某些屬性的所有流量，例如，防火牆具有允許或拒絕ICMP ping的規則策略。行爲緩解裝置允許您限制每秒ping的數量，因此只有在低於特定速率時才允許ping。這種上下文信息使得攻擊緩解更加準確。

　　另一種硬編碼政策與費率本身有關，不是行爲性的。例如，一個小型的信用社可能有一個平均流量爲10Mbps的網上銀行應用程序。而另一處，有一家大型銀行，可能會有10Gbps的平均流量。對於較小的信用社，如果流量突然增長到110 Mbps，它可以使服務器崩潰，而大型銀行的服務器上增加100 Mbps只不過是一個小點。因此，有能力清晰地知道多少流量算是攻擊，多少隻是一個小點是行爲緩解真正有效的地方。

　　三、總數據量與流量精細化

　　您怎麼知道您是否遇到了DDoS攻擊?只是總數據包數還是更多?

　　由於應用層攻擊與網絡和傳輸層攻擊相結合，粒度指的是能夠針對攻擊的維度。在網絡訪問中它是否是同一個用戶代理，或者它是一個特定的URL，還是隻是分段的數據包，等等?攻擊緩解系統越細化，越能夠將流量切分成精確的維度，從而避免在攻擊過程中出現誤報。

　　四、固定與自適應

　　互聯網業務流量從來就不是靜態的。任何互聯網的流量都有其每日、每週、每月和每年的季節性。由於營銷活動等原因，流量也可能突然激增。自適應系統能夠具有隨時間調整的行爲流量閾值，以便任何劇烈變化被迅速識別爲攻擊。

       [本文首發：https://www.idcpf.com/。轉載請註明出處!數分科技-熱銷推薦：高防服務器、雲服務器、香港服務器、香港主機、機櫃大帶寬租用]